[[149953]]

蘋果 iOS 開發平臺被“XCodeGhost”木馬感染，導致大量 iOS 版本的應用軟件成為“惡意軟件”，這一重大事件，讓“蘋果 iOS 安全性超過安卓”的“神話”被徹底擊碎。許多果粉驚訝，原來蘋果手機和平板也如此不堪一擊！

蘋果 iOS 系統的漏洞，遠遠不止上述一宗。據外媒報道，一家國外安全公司日前宣布，將最高花費 300 萬美元采購蘋果 iOS9 操作系統中的“零日漏洞”。

所謂“零日漏洞”，指的是漏洞在曝光之后快速被網絡黑客所利用發動攻擊，相關的廠商甚至來不及發布補丁修補漏洞。對于黑客灰色產業鏈而言，“零日漏洞”的價值遠遠超過常規的漏洞。

據美國科技新聞網站“連線”報道，本周一，一家名為 Zerodium 的公司對外宣布，出價 100 萬美元征集 iOS9 操作系統的“零日漏洞”。另外如果漏洞的價值足夠大，該公司愿意為一個漏洞支付最高 300 萬美元的價格。

這是歷史上安全公司或者其他需要軟件漏洞的情報部門，為單一漏洞開出的最高價碼。

該公司征集的 iOS9 系統漏洞，可以被用來通過遠程方式攻擊蘋果手機或平板，或是通過網頁應用、移動軟件，甚至是傳統短信等方式，對蘋果設備發動攻擊。

該公司表示，通過安全性能的不斷增強，蘋果 iOS 目前已經是最安全的移動操作系統，“但是不要被愚弄了，安全并不意味著牢不可破。”該公司表示，所謂的安全只是意味著黑客在利用其軟件漏洞發動攻擊的復雜性和成本最高。

征集到這些蘋果 iOS 漏洞之后作何用途？這家公司并未對外宣布。

據報道，Zerodium 的創始人名叫貝克拉（Chaouki Bekrar），在所謂的安全漏洞灰色市場中，此人大名鼎鼎。除了這家安全公司之外，他還在法國巴黎開辦了一家名為 Vupen 的公司。

這家法國公司的業務頗受爭議，他們專門開發針對知名軟件的攻擊手段，然后將漏洞和攻擊方式轉讓給全世界的政府情報部門。

美國媒體指出，通過高價征集 iOS9 的漏洞，貝克拉實際上已經成為一種“黑客中間人”的角色。

在更主流的網絡安全行業中，如果一家安全公司發現了漏洞，將會報告給微軟、蘋果和谷歌等公司開發漏洞補丁，而在補丁發布之后，安全公司會通過行業大會等發布漏洞，借此提高公司在行業內的聲望，另外蘋果、谷歌等公司也會通過現金的方式，對主動報告漏洞表示感謝。

在相關廠商置之不理的情況下，一些安全公司和專家也會主動向科技媒體進行爆料，提醒相關產品的用戶注意安全防范。

和常規做法不同的是，貝克拉和他的 Vupen 公司，不會主動報告漏洞，而是通過轉讓來謀取利益。不過該公司的轉讓對象是否包括不良之徒和犯罪組織，尚不得而知。

安全漏洞灰色市場的存在已經不是秘密。谷歌、微軟等公司都會花費重金向安全行業征集自家軟件的漏洞。

七月份據美國媒體報道，美國海軍的情報部門也曾經向安全行業“收購”知名軟件的安全漏洞，收購內容中還包括可以發動網絡攻擊的二進制程序。這些漏洞是“零日漏洞”或是“N日漏洞”。

此前，英國路透社曾經報道，美國政府情報部門是全世界最大的“零日漏洞”買家，尚未被公開的高價值“零日漏洞”起價高達 5 萬美元。